- 1、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
- 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
中国3000万经理人首选培训网站
更多免费资料下载请进: 好好学习社区
ISMS所要求的文件列表
信息安全管理体系标准所要求文件或记录包括:
方针目标文件 4.3.1
范围文件 4.3.1 b)
风险评估方法 4.3.1 d)
风险评估报告 4.3.1 e)
风险处理计划 4.3.1
控制措施有效性测量程序 4.3.1
适用性声明 4.3.1 i)
文件控制程序 4.3.2
记录控制文件 4.3.3
ISMS内部审核程序 6
管理评审结果; 7.1
纠正措施程序 8.2;
预防措施程序 8.3
重要资产清单 A.7.1.1
资产使用规则 A.7.1.3
信息安全角色和职责 A.8.1.1
信息处理设施操作程序 A.10.1.1
信息访问控制策略 A.11.1.1
法律法规、合同符合程序 A.15.1.1
ISMS运行的记录表格类型:
可能影响ISMS有效性或绩效的措施和事件的记录 4.2.3 h
ISMS事故记录 4.3.3
员工资历记录 5.2.2
内部审核记录 6
管理评审记录 7.1
纠正措施结果记录 8.2
预防措施结果记录 8.3
故障记录 A.10.10.5
安全弱点记录 A.13.1.2
ISO27001所要求的文件列表
序号
文件名称
27001条款
备注
ISMS方针
4.3.1 a
4.3.1 b)
A.5.1.1
A.5.1.2
A.6.1.1
确定组织ISMS的范围和边界
确定组织的信息安全方针
信息安全方针要形成文件
按计划的时间间隔、当发生重大变化时评审
管理者的承诺
风险评估程序
4.3.1 d)
4.3.1 e)
A.7.1.1
A.7.1.2
规定组织实施风险评估的步骤和方法
风险评估报告,记录评估程序的结果
重要资产清单,包括资产类型、格式、位置、备份信息、许可信息和业务价值。
包含对应的资产责任人,并注释
风险处理计划
4.3.1
针对风险评估中高风险的处理计划
适用性声明
4.3.1 i)
对所选择的控制措施的说明
文件控制程序
4.3.2
对体系文件的控制程序
记录控制文件
4.
对体系记录的控制程序
规定对组织记录的保护要求,以满足法律法规等的要求
内部审核程序
6
规定体系的内审程序
管理评审程序
4.2.3 f
4.2.3 b)
4.2.3 b)
A.6.1.8
规定体系的管理评审程序
考虑安全审核结果、事故、有效性测量结果、所有相关方的建议和反馈
考虑风险评估的评审、以及对残余风险和已标识的可接受风险的级别进行评审
组织管理信息安全的方法及其实施(例如信息安全的控制目标、控制措施、策略、过程和程序)的评审
纠正与预防措施程序
8.2
8.3
规定组织采取纠正和预防措施的程序
信息处理设施操作程序
(资产使用规则)
A.7.1.3
A.10.1.1
A.10.1.2
A.10.1.
A.10.10
A.1
1规定资产的合格使用规则
2信息处理设施操作程序要形成文件
3规定信息处理设施操作系统和应用软件的变更管理
4 规定信息处理设施操作的责任分割
5信息处理设施监视程序的使用规则
6从法律方面要求考虑,禁止用户使用信息处理设施用于未授权的目的
信息安全角色和职责
A.8.1.1
A.
A.6.1.3
A.6.
分配人员角色和职责时应考虑有关信息安全协调的内容
高层管理者的职责
管理者应确保在其职责范围内的所有安全程序被正确地执行,以确保符合安全策略及标准。
访问控制策略
A.11.1.1
基于业务与安全要求建立文件化的访问控制策略要求,并规定评审的实施要求。
A.11.
A.11.2
A.11.2
A.11.
A.11.2
在访问控制策略中规定对用户访问管理的要求:
1规定用户的注册及注销程序
2分配和使用特殊权限的规定
3对用户口令分配的控制
4规定定期对用户的访问权进行复查
A.11.
A.11.
A.11.
A.11.
在访问控制策略中规定用户职责
1规定用户使用口令,并在选择和使用时遵循良好的惯例。
2规定用户应了解保护无人看管设备的安全要求和程序以及他们的职责。
3规定用户要按要求清空桌面和屏幕。
A.11.
A.11.4
A.11.4
A.11.4
A.11.4
A.11.4
A.11.4
A.11.4
网络与网络服务访问控制策略,包括:
1规定允许访问的网络和网络服务、谁访问、保护访问的管理控制和程序等。
2规定对远程用户访问的鉴别方法。
3考虑自动设备标识及鉴别
4诊断和配置端口的控制
5规定网络按照存储或处理信息的价值和分类等进行隔离
6规定用户连接网络的限制
7在网络中实施路由控制的要求
A.11.
A.11.5
A.11.5
A.11.
A.11.5
A.11.5.5
A.11.5.6
文档评论(0)